web-dev-qa-db-ja.com

ネットワークポリシーサーバーのネットワークポリシールールに問題があります

大学のネットワーク用にRADIUSを構成しようとすると、次のフラストレーションに遭遇しました。

ネットワークポリシールールで、認証されたオブジェクトのグループメンバーシップに「AND」条件を設定できません。基本的に「ユーザーが[ユーザーグループのリスト]のメンバーである場合およびは[ワイヤレスコンピューターグループ]内のコンピューターから認証され、アクセスを許可する」というNPSルールを作成しようとしています。

This does not work

上のスクリーンショットは、私が問題を抱えているルールです。書かれた通りには動作しません。その下のルールは、条件ルールを除くすべての面で同一であり、機能します。

This does work

非動作ルールを変更して、グループの各セットを、特にマシンおよびユーザーグループとしてではなく、「Windowsグループ」として定義しようとしましたが、変更はありません。

「障害のある」ルールが有効で、機能しているルールが無効になっている場合、ワイヤレスコンピュータグループに含まれるマシンから有効なアカウントでログインしようとすると、Windowsイベントログに6273監査イベントが記録されます。理由コード66-「ユーザーが試行しました一致するネットワークポリシーで有効になっていない認証方法を使用するには」。 「障害のある」ルールを無効にし、他のルールを有効にして、同じアカウントとコンピューターでログインすると、問題なく機能します。

2
Rob Moir

[条件]タブで、すべてのグループを1つの条件ルールに追加するのではなく、各ルール/行にグループを追加します。基本的にユーザーグループを追加し、[追加]をクリックしてもう一度実行します。条件列の下に「ユーザーグループ」のリストが表示されます。すべてのグループを1つの条件行に追加すると、デフォルトでORになります。

3
Bret Fisher

あなたが説明していることは、結合された認証のように聞こえます。これは、最初に有効なマシンセッションがない限り、ユーザーが802.1xを介して正常に認証できないことを意味します。これが達成する必要がある場合、私の経験では、Radiusとは対照的に、通常はWLCに適用されます。

1
keith